CN110378086B - 权限的管理方法和装置 - Google Patents

权限的管理方法和装置 Download PDF

Info

Publication number
CN110378086B
CN110378086B CN201910698900.0A CN201910698900A CN110378086B CN 110378086 B CN110378086 B CN 110378086B CN 201910698900 A CN201910698900 A CN 201910698900A CN 110378086 B CN110378086 B CN 110378086B
Authority
CN
China
Prior art keywords
resource
target
pool
address
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910698900.0A
Other languages
English (en)
Other versions
CN110378086A (zh
Inventor
郑凯
刘世捷
刘孝卿
余纬中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN201910698900.0A priority Critical patent/CN110378086B/zh
Publication of CN110378086A publication Critical patent/CN110378086A/zh
Application granted granted Critical
Publication of CN110378086B publication Critical patent/CN110378086B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种权限的管理方法和装置,其中,该方法通过先获取并根据多个请求获取相同的目标资源的使用权限的目标对象的地址数据,建立一个总的源地址池;同时,根据目标资源的地址数据和端口数据,建立对应该目标资源的第一资源池;再以源地址池和第一资源池为配置单位,配置得到的一个权限策略,进而可以通过针对这一个权限策略操作开通管理多个目标对象针对目标资源的使用权限。从而解决了现有方法中由于需要分别单独为每一个目标对象配置对应的权限策略导致权限配置、管理过程繁琐,权限管理效率较低的技术问题。达到简化操作,能够高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。

Description

权限的管理方法和装置
技术领域
本申请涉及互联网技术领域,特别涉及一种权限的管理方法和装置。
背景技术
通常为保护网络中的诸如服务器、应用程序等资源的数据安全,会针对这类资源设置防火墙等应用程序进行保护,以阻止针对这类资源的非法访问或调用。
基于现有的权限管理方法,用户如果想要访问、调用上述资源,需要管理员或者网络中负责权限的服务器单独为该用户配置一对一的权限策略,进而可以基于该权限策略,上述防火墙等应用程序才会允许该用户正常访问、调用对应的权限策略中所包含的目标资源。
但是,具体实施时发现,基于现有的权限管理方法需要单独为每一个用户分别配置一对一的权限策略。当申请权限的用户数量较为庞大,管理员或者服务器需要配置大量的权限策略以开通大量用户针对所请求的资源的使用权限。同时,管理员或者服务器还需要对上述大量的权限策略分别进行单独处理,以管理各个用户的针对所请求资源的使用权限。可见现有方法具体实施时,权限配置、管理过程相对会较为繁琐复杂,管理员或者服务器势必需要消耗大量的资源和时间成本,来对大量权限策略进行配置和管理,导致权限管理效率会相对较低。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种权限的管理方法和装置,以解决现有方法由于需要分别单独为每一个目标对象配置对应的权限策略,导致权限配置、管理过程繁琐,权限管理效率较低,且管理过程资源消耗量大,影响系统性能的技术问题。达到能简化管理过程,高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。
本申请实施例提供了一种权限的管理方法,包括:
获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;
根据所述多个目标对象的地址数据,建立源地址池;
获取目标资源的地址数据,以及目标资源的端口数据;
根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;
根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限。
在一个实施例中,所述目标资源包括多个子资源。
在一个实施例中,在所述目标资源包括多个子资源的情况下,所述第一资源池包括多个第二资源池,其中,所述第二资源池分别与一个子资源对应。
在一个实施例中,在根据所述源地址池、所述第一资源池,配置对应的权限策略后,所述方法还包括:
接收针对目标对象的修改请求;
响应所述修改请求,对权限策略中的源地址池和/或第一资源池进行相应修改。
在一个实施例中,对权限策略中的源地址池进行相应修改,包括以下至少之一:修改源地址中的地址数据;增加源地址池中的地址数据;删减源地址池中的地址数据。
在一个实施例中,对权限策略中的第一资源池进行相应修改,包括以下至少之一:修改第一资源池中的地址数据和/或端口数据;增加第一资源池中的地址数据和/或端口数据;删减第一资源池中的地址数据和/或端口数据。
本申请实施例还提供了一种权限的管理装置,包括:
第一获取模块,用于获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;
第一建立模块,用于根据所述多个目标对象的地址数据,建立源地址池;
第二获取模块,用于获取目标资源的地址数据,以及目标资源的端口数据;
第二建立模块,用于根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;
配置模块,用于根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于管理多个目标对象针对目标资源的使用权限。
在一个实施例中,所述目标资源包括多个子资源。
在一个实施例中,在所述目标资源包括多个子资源的情况下,所述第一资源池包括多个第二资源池,其中,所述第二资源池分别与一个子资源对应。
在一个实施例中,所述装置还包括修改模块,用于接收针对目标对象的修改请求;响应所述修改请求,对权限策略中的源地址池和/或第一资源池进行相应修改。
在一个实施例中,对权限策略中的源地址池进行相应修改,包括以下至少之一:修改源地址中的地址数据;增加源地址池中的地址数据;删减源地址池中的地址数据。
在一个实施例中,对权限策略中的第一资源池进行相应修改,包括以下至少之一:修改第一资源池中的地址数据和/或端口数据;增加第一资源池中的地址数据和/或端口数据;删减第一资源池中的地址数据和/或端口数据。
本申请实施例还提供了一种服务器,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;根据所述多个目标对象的地址数据,建立源地址池;获取目标资源的地址数据,以及目标资源的端口数据;根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,所述指令被执行时实现获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;根据所述多个目标对象的地址数据,建立源地址池;获取目标资源的地址数据,以及目标资源的端口数据;根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限。
在本申请实施例中,通过基于资源池技术,先获取并根据多个请求获取相同的目标资源的使用权限的目标对象的地址数据,建立一个总的源地址池;同时,根据目标资源的地址数据和端口数据,建立对应该目标资源的第一资源池;再以源地址池和第一资源池为配置单位,配置得到的一个权限策略,进而可以只通过针对这一个权限策略的操作开通、管理多个目标对象针对目标资源的使用权限。从而解决了现有方法中由于需要分别单独为每一个目标对象配置对应的权限策略,导致权限配置、管理过程繁琐,权限管理效率较低,且管理过程资源消耗量大,影响系统性能的技术问题。达到能简化权限管理过程,高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例提供的权限的管理方法的处理流程图;
图2是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图3是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图4是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图5是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图6是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图7是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图8是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图9是根据本申请实施例提供的权限的管理方法的一个实施例示意图;
图10是根据本申请实施例提供的权限的管理装置的组成结构图;
图11是基于本申请实施例提供的权限的管理方法的服务器组成结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
考虑到现有的权限管理方法需要为每一个用户单独配置针对某个资源的使用权限的权限策略。再基于单个权限策略分别管理各个用户针对资源的使用权限,例如删除某用户针对某个资源的使用权限,或者修改某用户使用某个资源的使用权限的时间条件等等。基于上述方法,当申请资源的使用权限的用户数量较多时,势必需要耗费大量资源配置数量庞大的权限策略。同时,还需要耗费大量资源来分别管理上述数量庞大的权限策略。进而会占用掉大量的运算资源,影响系统的耗能。并且,由于需要单独配置、管理每一个权限策略,导致对权限策略的配置、管理过程较为繁琐复杂,使得权限管理效率相对较低,也会影响用户的使用体验。
针对产生上述问题的根本原因,本申请考虑可以将申请相同的资源的用户划为一组建立一个权限策略进行统一管理。具体的,可以基于资源池技术,获取并根据多个请求相同的目标资源的使用权限的目标对象(例如用户使用的客户端设备或者账号)的地址数据建立一个总的源地址池;同时,根据目标资源的地址数据和对应的端口数据建立对应该目标资源的一个总的第一资源池;再以上述源地址池和第一资源池整体作为配置单位,而不是单独以单个用户的地址数据作为配置单位,进行权限策略配置,得到一个总的权限策略,减少了所需要配置的权限策略的数量。进而可以只通过针对这一个权限策略的操作开通、管理多个目标对象针对目标资源的使用权限,降低了权限策略的管理复杂度和资源耗用量。从而解决了现有方法中由于需要分别单独为每一个目标对象配置对应的权限策略,导致权限配置、管理过程繁琐复杂,权限管理效率较低,且管理过程资源消耗量大,影响系统性能的技术问题。达到简化权限管理过程,高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。
基于上述思考思路,本申请实施例提供了一种权限的管理方法。具体请参阅图1所示的根据本申请实施例提供的权限的管理方法的处理流程图。本申请实施例提供的权限管理方法,具体可以应用于负责权限的服务器一侧。具体实施时,可以包括以下内容。
S11:获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象。
在本实施例中,上述目标资源具体可以理解为一种需要通过开通相应的使用权限才能获取调用的资源。具体的,上述目标资源可以是服务器、工作站等设备,也可以是网络中的应用程序,还可以是系统平台所拥有的数据库等等。当然,需要说明的是,上述所列举的目标资源只是一种示意性说明。具体实施时,根据具体的应用场景和处理需要,上述目标资源还可以包括其他类型的资源。对此,本说明书不作限定。
在本实施例中,上述目标对象具体可以理解为一种请求获取针对目标资源的使用权限的对象。具体的,上述目标对象可以是用户使用的终端设备,例如,用户所使用的手机、电脑等等。当然,上述所列举的目标对象只是一种示意性说明。具体实施时,还可以包括有其他形式的目标对象。例如,用户登录使用的账户等。对此,本说明书不作限定。
在本实施例中,上述目标对象的地址数据具体可以是目标对象的IP地址(互联网协议地址),例如某电脑的IP地址192.168.31.1。也可以是与目标对象对应的MAC地址(Media Access Control Address)等等。当然,上述所列举的地址数据只是一种示意性说明。具体实施时,根据具体的应用场景和处理需要还可以引入其他能够与目标对象对应的数据作为上述地址数据。对此,本说明书不作限定。
在本实施例中,通常系统可以通过设置使用防火墙(例如,Juniper或华为防火墙等不同类型的防火墙)等应用来开通并管理目标对象针对目标资源的调取使用。例如,系统会预先配置目标对象针对所请求使用的目标资源的权限策略,上述防火墙应用会根据上述权限策略,确定拥有目标资源的使用权限的目标对象;接收并允许来自与上述目标对象所对应的地址的访问请求访问、调用对应的目标资源;相对的,会拒绝或拦截来自非目标对象所对应的地址的访问请求。
在本实施例中,上述多个目标对象具体可以理解为请求获取相同的目标资源的使用权限的多个目标对象。上述目标资源具体可以包括一个资源,也可以包括多个资源。其中,上述多个资源具体可以是相互关联,或者存在层次关系的资源,也可以是相互独立,互不影响的资源。
在本实施例中,具体实施时,负责权限的服务器可以将多个请求获取相同的目标资源的使用权限的目标对象划分为一个对象组,进而统一获取该对象组中各个目标对象地址数据。例如,可以将一个项目组中都需要访问使用同一个服务器B的多台电脑划分在一个对象组中。
S12:根据所述多个目标对象的地址数据,建立源地址池。
在本实施例中,上述根据所述多个目标对象的地址数据,建立源地址池,具体实施时,可以包括:基于资源池技术,将同一个对象组中的目标对象的地址数据组合成一个总的源地址池。
在本实施例中,具体实施时,可以先确定出对象组标识符,再根据所述对象组的标识符,通过预设的代码语句将该对象组中的多个目标对象的地址数据组合成一个源地址池。其中,该源地址池与该对象组对应,包含了该对象组中各个目标对象的地址数据。
具体的,例如,可以先将一个请求针对服务器B的使用权限的对象组的对象组标识确定为src_1。其中,该对象组中包含有两台电脑,即电脑1和电脑2,电脑1和电脑2的IP地址分别为:192.168.31.1/32和192.168.31.2/32。
进一步,可以根据系统所使用的防火墙类型,选择与防火墙类型匹配的代码语句作为预设代码语句,并通过该预设代码语句根据上述对象组标识建立对应的源地址池。
例如,如果确定系统所使用的防火墙类型为Juniper,则可以选择使用与Juniper匹配的代码语句,按照以下方式,通过预设的代码语句基于上述对象组标识建立对应的源地址池:set group address untrust src_1 add 192.168.31.1/32,set group addressuntrust src_1 add 192.168.31.2/32。这样可以通过将该对象组中的两台电脑的IP地址加入同一group中建立得到一个对应的源地址池。其中,该源地址池中包含有两台电脑的IP地址。可以参阅图2所示的源地址池。其中,源地址池的身份标识可以表示为src_1。
又例如,如果确定系统所使用的防火墙类型为华为防火墙,则可以选择使用与华为防火墙匹配的代码语句,按照以下方式,通过预设的代码语句基于对象组标识建立对应的源地址池:ip address-set src_1 type group,undo address all,address192.168.31.1 mask 255.255.255.255,address 192.168.31.2 mask 255.255.255.255。
当然,上述所列举的建立源地址池的方式只是一种示意性说明。具体实施时,根据具体情况,以及系统所采用的防火墙等应用的具体类型还可以采用其他合适的方式来建立源地址池。
在本实施例中,需要说明的是,为了方便用户操作,上述所列举的建立源地址池的实施例是服务器后台底层实现的实施例。具体实施时,可以参阅图3所示,服务器可以向用户展示源地址池的设置界面,用户或者管理员可以直接在所展示的界面中输入需要访问调用相同目标资源的多个目标对象的地址数据。服务器可以通过上述界面接收用户或者管理员设置输入的多个目标对象的地址数据,并在底层通过相关的代码语句根据上述多个目标对象的地址数据,建立得到一个对应的源地址池。这样可以简化用户操作,避免用户自行编写代码语句来实现源地址池的建立,提高了处理效率,也改善了用户的使用体验。
在本实施例中,具体实施时,用户或者管理员还可以直接在上述界面中输入需要访问调用相同目标资源的多个目标对象的编号等身份标识信息,服务器还可以根据所接收的目标对象的身份标识信息,通过查询自行识别确定出目标对象的地址数据,进而在通过代码语句根据上述地址数据建立一个对应的源地址池,而不需要用户自己另外查询逐个输入各个目标资源的地址数据和端口数据,进一步改善了用户的使用体验。
S13:获取目标资源的地址数据,以及目标资源的端口数据。
在本实施例中,每一个目标资源都有与该目标资源对应的地址数据和端口数据。其中,对应一个目标资源的地址数据可以包括多个IP地址或多个MAC地址等,对应一个目标资源的端口数据可以包括多个端口编号等。
例如,服务器B的地址数据可以包含有两个对应的IP地址:192.168.45.1和192.168.45.2,端口数据可以包括两个对应的端口编号:80和443。
在本实施例中,上述地址数据和端口数据可以用于指示所对应的目标资源,目标对象可以通过目标资源的地址数据和端口数据找到并访问对应的目标资源。
在本实施例中,具体实施时,服务器会根据多个目标对象所请求使用权限的目标资源,通过检索查询,找到并获取与该目标资源对应地址数据和端口数据。
S14:根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池。
在本实施例中,具体实施时,可以包括:基于资源池技术,将对应同一目标资源的地址数据和端口数据,组合成一个对应该目标资源的总的资源池,记为第一资源池。
在本实施例中,具体实施时,可以先确定出对目标资源的标识符,再根据所述目标资源的标识符,通过预设的代码语句将与该目标资源对应的地址数据和端口数据组合成一个第一资源池。其中,该第一资源池与该目标资源组对应,包含了与该目标资源对应的地址数据和端口数据。
具体的,例如,可以先将目标资源服务器B的标识符确定为resource_B。再通过预设的代码语句与该目标资源的标识符分别根据地址数据(192.168.45.1和192.168.45.2)建立对应的地址组,例如,dst_B地址组;根据端口数据(80和443)建立对应的服务组,例如,port_B端口组。将上述地址组和服务组组合得到对应的第一资源池。
具体实施时,可以根据系统所使用的防火墙类型,选择与防火墙类型匹配的代码语句作为预设代码语句,并通过该预设代码语句建立第一资源池。
例如,如果确定防火墙类型为Juniper防火墙,可以选择与Juniper防火墙匹配的代码语句,按照以下方式,通过预设的代码语句分别建立对应地址组和服务组,得到第一资源池:set group address trust dst_B add 192.168.45.1/32,set group addresstrust dst_B add 192.168.45.2/32,set group service port_B add 80,set groupservice port_B add 443。其中,第一资源池中包含有与目标资源服务器B对应的地址数据和端口数据。可以参阅图4所示的第一资源池,其中,第一资源池的身份标识可以表示为resource_B。
又例如,如果确定系统所使用的防火墙类型为华为防火墙,则可以选择使用与华为防火墙匹配的代码语句,按照以下方式,通过预设的代码语句分别建立对应地址组和服务组,得到第一资源池:ip address-set dst_B type group,undo address all,address192.168.45.1 mask 255.255.255.255,address 192.168.45.2 mask 255.255.255.255,ip service-set port_a_1 type group,undo service all,service service-set 80,service service-set 443。
当然,上述所列举的建立第一资源池的方式只是一种示意性说明。具体实施时,根据具体情况,以及系统所采用的防火墙等应用的具体类型还可以采用其他合适的方式来建立第一资源池。
在本实施例中,需要说明的是,为了方便用户操作,上述所列举的建立第一资源池的实施例是服务器后台底层实现的实施例。具体实施时,可以参阅图5所示,服务器可以向用户展示第一资源池的设置界面,用户或者管理员可以直接在所展示的界面中输入需要访问调用目标资源具体的地址数据和端口数据。服务器可以通过上述界面接收用户或者管理员设置输入的地址数据和端口数据,并在底层通过相关的代码语句根据上述目标资源的地址数据和端口数据,建立得到一个对应的第一资源池。这样可以简化用户操作,避免用户自行编写代码语句来实现第一资源池的建立,提高了处理效率,也改善了用户的使用体验。
在本实施例中,具体实施时,用户或者管理员还可以直接在上述界面中输入需要访问调用的目标资源的编号等身份标识信息,服务器还可以根据所接收的目标资源的身份标识信息,通过查询自行识别确定出目标资源的地址数据和端口数据,进而在通过代码语句直接根据上述数据建立一个对应的第一资源池,而不需要用户自己另外查询逐个输入各个目标资源的地址数据和端口数据,进一步改善了用户的使用体验。
S15:根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限。
在本实施例中,上述根据所述源地址池、所述第一资源池,配置对应的权限策略,具体实施时,可以根据源地址池的身份标识、第一资源池的身份标识,通过预设的代码语句将源地址池和第一资源池进行连接组合,从而得到对应的权限策略。
其中,该权限策略中记载有多个目标对象的地址数据,以及与目标资源的对应的地址数据和端口数据。基于该权限策略,防火墙等应用会允许源自上述目标对象的地址数据处请求访问调用与目标资源的地址数据和端口数据对应的目标资源。
具体实施时,可以先获取与目标资源对应的第一资源池的身份标识,以及与目标对象对应的源地址池的身份标识;确定系统所应用的防火墙等应用的具体类型,并选择通过使用与防火墙等应用的类型匹配的代码语句作为预设的代码语句;通过预设的代码语句,根据所述源地址池的身份标识、第一资源池的身份标识,将源地址池和第一资源池进行连接组合,配置得到对应的权限策略(例如身份标识为B1的权限策略)。
具体的,例如,可以先获取与目标资源服务器B对应的第一资源池的身份标识resource_B,以及与目标对象对应的源地址池的身份标识src_1。进一步,确定防火墙类型,根据防火墙类型选择匹配的代码语句来配置权限策略。
如果确定系统所使用的防火墙类型为Juniper防火墙,可以选择与Juniper防火墙匹配的代码语句,按照以下方式,通过预设的代码语句将源地址池映射到第一资源池,来配置权限策略:set policy id B1 from untrust to trust src_1 dst_B port_B permitlog。当然,需要说明的是,这里使用的policy id B1只是一种示意性说明。在具体编写使用与Juniper防火墙匹配的代码语句时,还会考虑到基于与Juniper对应的代码编写规则,在设置policy id时通常可能不使用用字母,这时也可以通过使用一段与该权限策略对应的数字字符作为身份标识,例如21替换上述B1来指示对应的权限策略,用于编写对应的代码语句。
如果确定系统所使用的防火墙类型为华为防火墙,则可以选择使用与华为防火墙匹配的代码语句,按照以下方式,通过预设的代码语句配置权限策略:rule name B1,source-address address-set src_1,destination-address address-set dst_B,service port_B,action permit,Quit。可以参阅图6所示的身份标识为B1的配置好的权限策略。
当然,上述所列举的配置权限策略的方式只是一种示意性说明。具体实施时,根据具体情况,以及系统所采用的防火墙等应用的具体类型还可以采用其他合适的方式来配置相应的策略权限。
在本实施例中,需要说明的是,为了方便用户操作,上述所列举的配置权限策略的实施例是服务器后台底层实现的实施例。具体实施时,可以参阅图7所示,服务器可以向用户展示权限策略的配置界面,用户或者管理员可以直接在所展示的界面中输入或者选择需要组合的源地址池的身份标识,以及与目标资源对应的第一资源池的身份标识,再点击提交指令,指示进行组合连接。服务器可以通过上述界面接收用户或者管理员设置输入的源地址池的身份标识,以及与目标资源对应的第一资源池的身份标识,并在底层通过相关的代码语句根据上述源地址池的身份标识,以及与目标资源对应的第一资源池的身份标识,建立源地址池到第一资源池的映射关系,配置得到对应的权限策略。这样可以简化用户操作,避免用户自行编写代码语句来实现权限策略的配置,提高了处理效率,也改善了用户的使用体验。
按照上述方式配置得到了权限策略后,服务器可以通过防火墙等应用根据上述权限策略,允许来自该权限策略中的源地址池的IP地址或MAC地址的请求数据访问调用与第一资源池中的地址数据和端口数据对应的目标资源,从而开通了多个目标对象针对目标资源的使用权限。
此外,后续服务器可以通过仅对这一条权限策略的管理操作,同时对多个目标对象对目标资源的使用权限进行管理。例如,可以通过在权限策略的源地址池中删除一个目标对象的地址数据,剔除该目标对象的针对目标资源的使用权限。或者,通过在权限策略的第一资源池中增加目标资源的地址数据,使得目标对象可以通过新的地址来访问调用目标资源,而不需要重新进行权限策略的配置。
这样服务器可以只需要配置、管理一条权限策略,就能同时开通、管理多个不同目标对象针对目标资源的使用权限,有效减少了需要配置、管理的权限策略的数量,简化了权限配置、管理过程,降低了服务器在进行权限配置、管理时的资源消耗成本,减轻了服务器的处理负担。
在本申请实施例中,相较于现有方法,通过先获取并根据多个请求获取相同的目标资源的使用权限的目标对象的地址数据,建立一个总的源地址池;同时,根据目标资源的地址数据和端口数据,建立对应该目标资源的第一资源池;再以源地址池和第一资源池为配置单位,配置得到的一个权限策略,进而可以通过针对这一个权限策略操作开通管理多个目标对象针对目标资源的使用权限。从而解决了现有方法中由于需要分别单独为每一个目标对象配置对应的权限策略,导致权限配置、管理过程繁琐,权限管理效率较低,且管理过程资源消耗量大,影响系统性能的技术问题。达到能简化权限管理过程,高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。
在一个实施例中,在根据所述源地址池、所述第一资源池,配置对应的权限策略后,所述方法还包括以下内容:通过防火墙等应用根据上述权限策略控制目标对象对目标资源的访问和调用。具体的,包括开通目标对象针对目标资源的使用权限,以及修改更新目标对象针对目标资源的使用权限等等。
在一个实施例中,所述目标资源具体可以包括多个子资源。
在一个实施例中,在所述目标资源包括多个子资源的情况下,所述第一资源池包括多个第二资源池,其中,所述第二资源池分别与一个子资源对应。
在本实施例中,上述多个目标对象可以同时对多个资源的使用权限进行请求,相应的,上述目标资源具体可以包括多个不同的子资源。其中,多个子资源可以是互相没有关联、相互独立的资源,例如可以是相互独立的服务器A、服务器B等。多个子资源也可以是互相存在关联、相互影响的资源。例如可以是某一个一级资源resource_A下的两个二级资源a_1和a_2。
针对第一种情况,即多个子资源可以是互相没有关联、相互独立的资源,可以分别建立与各个子资源分别对应的分立的多个子资源池作为第二资源池;再将上述多个子资源池分别与源地址池进行连接,建立得到目标对象针对多个目标资源的权限策略。可以参阅图8所示,分别建立针对服务器A和服务器B的资源池:resource_A、resource_B,再建立得到包含有上述两种子资源池的权限策略T1。
针对第二种情况,即多个资源可以是互相关联。互相影响的资源,例如一级资源a下的两个二级资源a_1和a_2,可以参阅图9所示,在一级资源的第一资源池resource_A中进一步划分建立两个子资源池,即在包含在第一资源池resource_A中的第二资源池resource_a_1和resource_a_2分别与两个二级资源a_1和a_2对应。再将上述第二资源池分别与源地址池进行连接,建立得到对应的权限策略T2。
在一个实施例中,在根据所述源地址池、所述第一资源池,配置对应的权限策略后,所述方法具体实施时,还可以包括以下内容:接收针对目标对象的修改请求;响应所述修改请求,对权限策略中的源地址池进行相应修改。
在本实施例中,具体实施时,服务器可以通过对按照上述方式配置得到的一条权限策略中源地址池进行对应的操作以实现同时对多个目标对象针对目标资源的使用权限的调整和管理。这样可以避免基于现有方法,需要逐条地修改不同的权限策略来分别对多个目标对象针对目标资源的使用权限进行调整和管理。从而有效地降低了服务器的数据处理量,提高了处理效率。
在一个实施例中,上述对权限策略中的源地址池进行相应修改,具体实施时,可以包括以下至少之一:修改源地址中的地址数据;增加源地址池中的地址数据;删减源地址池中的地址数据等等。当然,需要说明的是,上述所列举的针对权限策略中的源地址池的操作只是一种示意性说明。具体实施时,根据具体的应用场景和处理需要,还可以引入其他类型和内容的操作来对权限策略中的源地址池进行修改,以对多个目标对象针对目标资源的使用权限进行相应的调整和管理。
在本实施例中,具体实施时,服务器可以获取并接收用户或者管理员等针对已经开通了目标资源的使用权限的目标对象的修改请求(例如,增加新的目标对象,或者删除原有的目标对象等);进而可以根据上述修改请求通过预设的代码语句对权限策略中的源地址池中的地址数据进行相应的修改,从而能完成度权限策略的修改更新,使得修改更新后的权限策略满足修改请求。
具体的,例如,原项目组中的甲离职,需要删除之前为甲开通的目标资源的使用权限;同时项目组有新人乙入职,需要增加开通乙的目标资源的使用权限。这时,可以先获取甲之前使用的终端设备的地址数据(例如,IP地址:192.168.31.3),以及乙使用的终端设备的地址数据(例如,IP地址:192.168.31.2);再通过与所使用的防火墙等应用的类型匹配的代码语句,根据甲的地址数据,从对应的权限策略的源地址池(例如,src_1)中删除甲的地址数据,同时根据乙的地址数据,在对应的权限策略组中增加乙的地址数据,从而完成了针对权限策略的修改和更新。防火墙等应用会基于修改和更新后的权限策略组织再通过甲使用的终端设备访问调用目标资源,同时会允许通过乙使用的终端设备来访问调用目标资源。
具体的,如果防火墙为Juniper防火墙,可以通过以下匹配的代码语句对源地址池中的地址数据进行相应修改:set group address untrust src_1 remove192.168.31.2/32,set group address untrust src_1 add 192.168.31.3/32。
如果防火墙为华为防火墙,可以通过以下匹配的代码语句对源地址池中的地址数据进行相应修改:ip address-set src_1 type group,undo address all,address192.168.31.1 mask 255.255.255.255,address 192.168.31.3 mask 255.255.255.255。
在一个实施例中,在根据所述源地址池、所述第一资源池,配置对应的权限策略后,所述方法具体实施时,还可以包括以下内容:接收针对目标资源的修改请求;响应所述修改请求,对权限策略中的第一资源池进行相应修改。
在本实施例中,上述对权限策略中的第一资源池进行相应修改,具体实施时,可以包括以下至少之一:修改第一资源池中的地址数据;修改第一资源池中的端口数据;增加第一资源池中的地址数据;删减源第一资源池中的地址数据;增加第一资源池中的端口数据;删减第一资源池中的端口数据等等。当然,需要说明的是,上述所列举的针对权限策略中的第一资源池的操作只是一种示意性说明。具体实施时,根据具体的应用场景和处理需要,还可以引入其他类型和内容的操作来对权限策略中的第一资源池进行修改,以对多个目标对象针对目标资源的使用权限进行相应的调整和管理。
在本实施例中,具体实施时,可以采用与修改权限策略中的源地址池类似的方式修改第一资源池。具体的,可以通过与防火墙匹配的预设代码语句对第一资源池中的地址数据,和/或,端口数据进行修改。
在本实施例中,上述对权限策略中的第一资源池进行相应修改,具体实施时,可以包括以下至少之一:修改第一资源池中的地址数据和/或端口数据;增加第一资源池中的地址数据和/或端口数据;删减第一资源池中的地址数据和/或端口数据等等。
具体的,例如,如果请求删除权限策略的一个资源池(resource_a_1)中的某个资源服务器(IP地址为:192.168.45.2),并在该资源池中还要增加一个端口数据(8080)。如果确定防火墙为Juniper防火墙,可以通过以下匹配的代码语句来对资源池进行修改:setgroup address trust dst_a_1 remove192.168.45.2/32,set group service port_a_1add 8080。这样可以从权限策略的资源池resource_a_1删除某个资源服务器,同时还增加了一个新的端口。
又例如,如果在请求删除权限策略的一个资源池(resource_a_1)中的某个资源服务器(IP地址为:192.168.45.2),并在该资源池中还要增加一个端口数据(8080)的同时,还请求在该权限策略的另一个资源池(resource_a_2)中增加一个新的资源服务器(IP地址:192.168.45.5),并在该资源池中删减一个端口数据(139)。如果确定防火墙为华为防护墙,可以通过以下匹配的代码语句对两个资源池进行修改:ip address-set dst_a_1 typegroup,undo address all,address 192.168.45.1 mask 255.255.255.255,ip service-set port_a_1 type group,undo service all,service service-set 80,serviceservice-set 443,service service-set 8080,ip address-set dst_a_2 type group,undo address all,address 192.168.45.3 mask 255.255.255.255,address192.168.45.4 mask 255.255.255.255,address 192.168.45.5 mask 255.255.255.255,ip service-set port_a_2 type group,undo service all,service service-set 445。这样可以从权限策略的资源池resource_a_1删除某个资源服务器,同时还增加了一个新的端口;并且还从资源池resource_a_2增加了一个新的资源服务器,同时还删除了一个旧的端口。
在一个实施例中,上述权限策略除了包含有源地址池、第一资源池外,还可以包含有权限属性数据,例如,权限的使用周期、权限的使用时间等等。通过上述权限属性数据可以更加精细地限定目标对象使用目标资源的使用条件。例如,通过在权限策略中设置权限的使用时间,可以使得防火墙只有在相应的权限的使用时间内才能允许来自该权限策略的源地址池中的地址数据的请求数据访问并调用对应的目标资源。从而能够更加精细、准确管理目标对象针对目标资源的使用权限。
在一个实施例中,在根据所述源地址池、所述第一资源池,配置对应的权限策略后,所述方法具体实施时,还可以包括以下内容:接收针对权限属性数据的修改请求;响应所述修改请求,对权限策略中的权限属性数据进行相应修改。
在一个实施例中,如果多个目标对象之前所请求的目标资源:应用A(对应的资源池为resource_A)和应用B(对应的资源池为resource_B)中,应用B需要被废除,同时还需要从外部加增一个新的目标资源应用C(在外源所对应的资源池为resource_C)以及源地址池(src_3)。这时可以资源池整体为处理单位,对上述多个目标对象所对应的权限策略进行修改。
具体的,服务器可以根据上述修改请求,将原有的权限策略中与应用B对应的资源池整体删除,同时在原有的权限策略的基础上将应用C外部对应的资源池整体加入该权限策略中作为一个新增的资源池resource_C。同时,再引入一个新的源地址池src_3。再分别建立与源地址池与资源池的对应关系,完成针对权限策略的修改和更新,满足上述修改请求。
在本实施例中,具体实施时,如果防火墙为Juniper防火墙,可以采用以下匹配的代码语句对权限策略进行修改:set policy id 2,set src-address src_3,unset src_address src_2,set dst_address dst_c_1,set dst_address dst_c_2,set serviceport_c_1,set service port_c_2,unset dst_address dst_c_1,unset dst_addressdst_c_2,unset service port_b_1,unset service port_b_2,exit。
如果防火墙为华为防火墙,可以采用以下匹配的代码语句对权限策略进行修改:rule name 2,source-address address-set src_3,no source-address address-setsrc_2,destination-address address-set dst_c_1,destination-address address-setdst_c_2,no destination-address address-set dst_b_1,no destination-addressaddress-set dst_b_2,service port_c_1,service port_c_2,no service port_b_1,noservice port_b_2,action permit,Quit。
在一个实施例中,当对整个权限策略都要废弃时,可以对整个权限策略整体进行删除。具体的,可以获取权限策略的身份标识,再根据权限策略的身份标识通过预设的代码语句删除整个权限策略。
具体的,如果防火墙为Juniper防火墙,可以采用匹配的代码语句按照以下方式删除身份标识为1的权限策略:unset policy id 1。
如果防火墙为华为防火墙,可以采用匹配的代码语句按照以下方式删除身份标识为1的权限策略:undo rule name 1。
在一个是实施例中,在需要删除原权限策略的某个源地址池时,可以获取待删除的源地址池的身份标识,例如src_1。再根据源地址池的身份标识,通过预设的代码语句删除权限策略中对应的源地址池,以及与该源地址池对应的策略,例如身份标识为1的策略。
具体的,如果防火墙为Juniper防火墙,可以采用匹配的代码语句按照以下方式处理:unset policy id 1,unset group address untrust src_1。
如果防火墙为华为防火墙,可以采用匹配的代码语句按照以下方式处理:undorule name 1,undo ip address-set src_1 type group。
在一个实施例中,在需要删除原权限策略的某个资源池时,可以获取待删除的资源池的身份标识,并根据该资源池的身份标识(resource_A)通过预设的代码语句删除原权限策略中该资源池,以及与该资源池相关的策略(例如身份标识为1的策略)。如果所要删除的资源池包括多个子资源池,可以按照层序关系,逐级删除。
具体的,如果防火墙为Juniper防火墙,可以采用匹配的代码语句按照以下方式处理:unset policy id 1,unset group address trust dst_a_1,unset group serviceport_a_1。
如果防火墙为华为防火墙,可以采用匹配的代码语句按照以下方式处理:undorule name 1,undo ip address-set dst_a_1 type group,undo ip service-set port_a_1 type group。
从以上的描述中,可以看出,本申请实施例提供的权限的管理方法,通过先获取并根据多个请求获取相同的目标资源的使用权限的目标对象的地址数据,建立一个总的源地址池;同时,根据目标资源的地址数据和端口数据,建立对应该目标资源的第一资源池;再以源地址池和第一资源池为配置单位,配置得到的一个权限策略,进而可以通过针对这一个权限策略操作开通管理多个目标对象针对目标资源的使用权限。从而解决了现有方法中由于需要分别单独为每一个目标对象配置对应的权限策略,导致权限配置、管理过程繁琐,权限管理效率较低,且管理过程资源消耗量大,影响系统性能的技术问题。达到能简化权限管理过程,高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。还通过以源地址池和第一资源池作为处理单位进行具体修改,来更新目标对象针对目标资源的使用权限,从而简化了权限的修改和更新过程,进一步提高了权限的管理效率。
基于同一发明构思,本申请实施例中还提供了一种权限的管理装置,如下面的实施例所述。由于权限的管理装置解决问题的原理与权限的管理方法相似,因此权限的管理装置的实施可以参见权限的管理方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。请参阅图10所示,是本申请实施例提供的权限的管理装置的一种组成结构图,该装置具体可以包括:第一获取模块1001、第一建立模块1002、第二获取模块1003、第二建立模块1004和配置模块1005,下面对该结构进行具体说明。
第一获取模块1001,具体可以用于获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;
第一建立模块1002,具体可以用于根据所述多个目标对象的地址数据,建立源地址池;
第二获取模块1003,具体可以用于获取目标资源的地址数据,以及目标资源的端口数据;
第二建立模块1004,具体可以用于根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;
配置模块1005,具体可以用于根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于管理多个目标对象针对目标资源的使用权限。
在一个实施例中,所述目标资源具体可以包括多个子资源。
在一个实施例中,在所述目标资源包括多个子资源的情况下,所述第一资源池具体可以包括多个第二资源池,其中,所述第二资源池分别与一个子资源对应。
在一个实施例中,所述装置具体还可以包括修改模块,上述修改模块具体可以用于接收针对目标对象的修改请求;响应所述修改请求,对权限策略中的源地址池和/或第一资源池进行相应修改。
在一个实施例中,对权限策略中的源地址池进行相应修改,具体可以包括以下至少之一:修改源地址中的地址数据;增加源地址池中的地址数据;删减源地址池中的地址数据等等。
在一个实施例中,对权限策略中的第一资源池进行相应修改,具体可以包括以下至少之一:修改第一资源池中的地址数据和/或端口数据;增加第一资源池中的地址数据和/或端口数据;删减第一资源池中的地址数据和/或端口数据等等。
通过应用上述基于资源池的权限策略的管理方法,使得用户可方便快速的进行多维度的网络访问权限管理、动态对权限进行设置、调节和分配,从而可以解决访问权限混乱不清、重复申请、梳理困难、处理效率低等问题,使管理人员,例如防火墙运维人员避免重复配置策略,降低运维成本,通过基于资源池维度配置相应策略,从而有效地降低策略数量,降低服务器出现性能问题的风险。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,上述实施方式阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,在本说明书中,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
此外,在本说明书中,诸如第一和第二这样的形容词仅可以用于将一个元素或动作与另一元素或动作进行区分,而不必要求或暗示任何实际的这种关系或顺序。在环境允许的情况下,参照元素或部件或步骤(等)不应解释为局限于仅元素、部件、或步骤中的一个,而可以是元素、部件、或步骤中的一个或多个等。
从以上的描述中,可以看出,本申请实施例提供的权限的管理装置,通过第一获取模块先获取并根据多个请求获取相同的目标资源的使用权限的目标对象的地址数据,再通过第一建立模块建立一个总的源地址池;同时,通过第二获取模块和第二建立模块获取并根据目标资源的地址数据和端口数据,建立对应该目标资源的第一资源池;再通过配置模块以源地址池和第一资源池为配置单位,配置得到的一个权限策略,进而可以通过针对这一个权限策略操作开通管理多个目标对象针对目标资源的使用权限。从而解决了现有方法中由于需要分别单独为每一个目标对象配置对应的权限策略,导致权限配置、管理过程繁琐,权限管理效率较低,且管理过程资源消耗量大,影响系统性能的技术问题。达到能简化权限管理过程,高效、便捷地同时为多个目标对象配置、管理针对目标资源的使用权限的技术效果。还通过修改模块以源地址池和第一资源池作为处理单位进行具体修改,来更新目标对象针对目标资源的使用权限,从而简化了权限的修改和更新过程,进一步提高了权限的管理效率。
本申请实施例还提供了一种服务器,具体可以参阅图11所示的基于本申请实施例提供的服务器的组成结构示意图,所述服务器具体可以包括网络通信端口1101、处理器1102以及存储器1103,上述结构通过内部线缆相连,以便各个结构可以进行具体的数据交互。
其中,所述网络通信端口1101,具体可以用于获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;获取目标资源的地址数据,以及目标资源的端口数据。
所述处理器1102,具体可以用于根据所述多个目标对象的地址数据,建立源地址池;根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限。
所述存储器1103,具体可以用于存储相应的指令程序。
在本实施例中,所述网络通信端口1101可以是与不同的通信协议进行绑定,从而可以发送或接收不同数据的虚拟端口。例如,所述网络通信端口可以是负责进行web数据通信的80号端口,也可以是负责进行FTP数据通信的21号端口,还可以是负责进行邮件数据通信的25号端口。此外,所述网络通信端口还可以是实体的通信接口或者通信芯片。例如,其可以为无线移动网络通信芯片,如GSM、CDMA等;其还可以为Wifi芯片;其还可以为蓝牙芯片。
在本实施例中,所述处理器1102可以按任何适当的方式实现。例如,处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式等等。本说明书并不作限定。
在本实施例中,所述存储器1103可以包括多个层次,在数字系统中,只要能保存二进制数据的都可以是存储器;在集成电路中,一个没有实物形式的具有存储功能的电路也叫存储器,如RAM、FIFO等;在系统中,具有实物形式的存储设备也叫存储器,如内存条、TF卡等。
在本实施例中,该计算机存储介质存储的程序指令具体实现的功能和效果,可以与其它实施方式对照解释,在此不再赘述。
本申请实施例还提供了一种基于权限的管理方法的计算机存储介质,所述计算机存储介质存储有计算机程序指令,在所述计算机程序指令被执行时实现:获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;根据所述多个目标对象的地址数据,建立源地址池;获取目标资源的地址数据,以及目标资源的端口数据;根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限。
在本实施方式中,上述存储介质包括但不限于随机存取存储器(Random AccessMemory,RAM)、只读存储器(Read-Only Memory,ROM)、缓存(Cache)、硬盘(Hard DiskDrive,HDD)或者存储卡(Memory Card)。所述存储器可以用于存储计算机程序指令。网络通信单元可以是依照通信协议规定的标准设置的,用于进行网络连接通信的接口。
在本实施方式中,该计算机存储介质存储的程序指令具体实现的功能和效果,可以与其它实施方式对照解释,在此不再赘述。
尽管本申请内容中提到不同的具体实施例,但是,本申请并不局限于必须是行业标准或实施例所描述的情况等,某些行业标准或者使用自定义方式或实施例描述的实施基础上略加修改后的实施方案也可以实现上述实施例相同、等同或相近、或变形后可预料的实施效果。应用这些修改或变形后的数据获取、处理、输出、判断方式等的实施例,仍然可以属于本申请的可选实施方案范围之内。
虽然本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。
上述实施例阐明的装置或模块等,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,移动终端,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的实施方式包括这些变形和变化而不脱离本申请。

Claims (14)

1.一种权限的管理方法,其特征在于,包括:
获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;
根据所述多个目标对象的地址数据,建立源地址池;
获取目标资源的地址数据,以及目标资源的端口数据;
根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;
根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于开通并管理多个目标对象针对目标资源的使用权限;其中,所述根据所述多个目标对象的地址数据,建立源地址池,包括:根据系统所使用的防火墙类型,选择与防火墙类型匹配的代码语句作为预设代码语句;基于资源池技术,通过所述预设代码语句,利用所述多个目标对象的地址数据,建立源地址池。
2.根据权利要求1所述的方法,其特征在于,所述目标资源包括多个子资源。
3.根据权利要求2所述的方法,其特征在于,在所述目标资源包括多个子资源的情况下,所述第一资源池包括多个第二资源池,其中,所述第二资源池分别与一个子资源对应。
4.根据权利要求1所述的方法,其特征在于,在根据所述源地址池、所述第一资源池,配置对应的权限策略后,所述方法还包括:
接收针对目标对象的修改请求;
响应所述修改请求,对权限策略中的源地址池和/或第一资源池进行相应修改。
5.根据权利要求4所述的方法,其特征在于,对权限策略中的源地址池进行相应修改,包括以下至少之一:修改源地址中的地址数据;增加源地址池中的地址数据;删减源地址池中的地址数据。
6.根据权利要求4所述的方法,其特征在于,对权限策略中的第一资源池进行相应修改,包括以下至少之一:修改第一资源池中的地址数据和/或端口数据;增加第一资源池中的地址数据和/或端口数据;删减第一资源池中的地址数据和/或端口数据。
7.一种权限的管理装置,其特征在于,包括:
第一获取模块,用于获取多个目标对象的地址数据,其中,所述多个目标对象为请求获取目标资源的使用权限的对象;
第一建立模块,用于根据所述多个目标对象的地址数据,建立源地址池;
第二获取模块,用于获取目标资源的地址数据,以及目标资源的端口数据;
第二建立模块,用于根据所述目标资源的地址数据,以及目标资源的端口数据,建立与目标资源对应的第一资源池;
配置模块,用于根据所述源地址池、所述第一资源池,配置对应的权限策略,其中,所述权限策略用于管理多个目标对象针对目标资源的使用权限;其中,所述第一建立模块具体用于根据系统所使用的防火墙类型,选择与防火墙类型匹配的代码语句作为预设代码语句;基于资源池技术,通过所述预设代码语句,利用所述多个目标对象的地址数据,建立源地址池。
8.根据权利要求7所述的装置,其特征在于,所述目标资源包括多个子资源。
9.根据权利要求8所述的装置,其特征在于,在所述目标资源包括多个子资源的情况下,所述第一资源池包括多个第二资源池,其中,所述第二资源池分别与一个子资源对应。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括修改模块,用于接收针对目标对象的修改请求;响应所述修改请求,对权限策略中的源地址池和/或第一资源池进行相应修改。
11.根据权利要求10所述的装置,其特征在于,对权限策略中的源地址池进行相应修改,包括以下至少之一:修改源地址中的地址数据;增加源地址池中的地址数据;删减源地址池中的地址数据。
12.根据权利要求10所述的装置,其特征在于,对权限策略中的第一资源池进行相应修改,包括以下至少之一:修改第一资源池中的地址数据和/或端口数据;增加第一资源池中的地址数据和/或端口数据;删减第一资源池中的地址数据和/或端口数据。
13.一种服务器,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1至6中任一项所述方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机指令,所述指令被执行时实现权利要求1至6中任一项所述方法的步骤。
CN201910698900.0A 2019-07-31 2019-07-31 权限的管理方法和装置 Active CN110378086B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910698900.0A CN110378086B (zh) 2019-07-31 2019-07-31 权限的管理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910698900.0A CN110378086B (zh) 2019-07-31 2019-07-31 权限的管理方法和装置

Publications (2)

Publication Number Publication Date
CN110378086A CN110378086A (zh) 2019-10-25
CN110378086B true CN110378086B (zh) 2021-06-29

Family

ID=68257263

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910698900.0A Active CN110378086B (zh) 2019-07-31 2019-07-31 权限的管理方法和装置

Country Status (1)

Country Link
CN (1) CN110378086B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115174177B (zh) * 2022-06-27 2023-06-30 广东美云智数科技有限公司 权限管理方法、装置、电子设备、存储介质和程序产品

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101297317A (zh) * 2005-10-24 2008-10-29 康坦夹德控股股份有限公司 支持动态权限和资源共享的方法和系统
CN104519097A (zh) * 2013-09-29 2015-04-15 中兴通讯股份有限公司 端口块资源的获取、端口块资源的分配方法及装置
CN107220767A (zh) * 2017-05-26 2017-09-29 中山市博林树投资管理有限公司 一种虚拟化资源池环境下的资源共享系统
CN109347676A (zh) * 2018-11-02 2019-02-15 杭州云霁科技有限公司 一种异构、一体化的混合云资源管理平台

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100543687C (zh) * 2007-09-04 2009-09-23 杭州华三通信技术有限公司 一种多核系统的资源管理方法和控制核
US8544068B2 (en) * 2010-11-10 2013-09-24 International Business Machines Corporation Business pre-permissioning in delegated third party authorization
KR101507919B1 (ko) * 2011-07-01 2015-04-07 한국전자통신연구원 가상 데스크탑 서비스를 위한 방법 및 장치
CN104467945B (zh) * 2013-09-16 2019-02-12 中国人民解放军总参谋部第六十一研究所 基于虚拟总线的分布式星群网络资源管理方法
CN108768948B (zh) * 2018-04-28 2021-04-16 努比亚技术有限公司 一种访问权限管理方法、服务器及计算机可读存储介质
CN108683672B (zh) * 2018-05-21 2021-09-21 华为技术有限公司 一种权限管理的方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101297317A (zh) * 2005-10-24 2008-10-29 康坦夹德控股股份有限公司 支持动态权限和资源共享的方法和系统
CN104519097A (zh) * 2013-09-29 2015-04-15 中兴通讯股份有限公司 端口块资源的获取、端口块资源的分配方法及装置
CN107220767A (zh) * 2017-05-26 2017-09-29 中山市博林树投资管理有限公司 一种虚拟化资源池环境下的资源共享系统
CN109347676A (zh) * 2018-11-02 2019-02-15 杭州云霁科技有限公司 一种异构、一体化的混合云资源管理平台

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Yarn动态资源池配置;Wille_Li;《https://www.jianshu.com/p/a0947175b269?tdsourcetag=s_pcqq_aiomsg》;20180307;正文第1页第1段至第6页第3段 *

Also Published As

Publication number Publication date
CN110378086A (zh) 2019-10-25

Similar Documents

Publication Publication Date Title
CN107046530B (zh) 用于异构敏捷信息技术环境的协调治理系统
US20230188571A1 (en) Automated Enforcement of Security Policies in Cloud and Hybrid Infrastructure Environments
US10229283B2 (en) Managing applications in non-cooperative environments
US10848520B2 (en) Managing access to resources
Calero et al. Toward a multi-tenancy authorization system for cloud services
US8656016B1 (en) Managing application execution and data access on a device
US10356155B2 (en) Service onboarding
US9189643B2 (en) Client based resource isolation with domains
JP2009009566A (ja) アクセス制御システムおよびアクセス制御方法
US11477187B2 (en) API key access authorization
CA2829805C (en) Managing application execution and data access on a device
WO2019204062A1 (en) User entity behavioral analysis for preventative attack surface reduction
CN110378086B (zh) 权限的管理方法和装置
US10237364B2 (en) Resource usage anonymization
CN108768744B (zh) 一种对云平台创建网络的管理方法和装置
Stan et al. Enforce a global security policy for user access to clustered container systems via user namespace sharing
US10623370B1 (en) Secure data flow for virtual workspaces
CA3165559C (en) Reducing attack surface by selectively collocating applications on host computers
KR20140129716A (ko) 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법
CN115174177A (zh) 权限管理方法、装置、电子设备、存储介质和程序产品
US11768692B2 (en) Systems and methods for automated application launching
CN109492376B (zh) 设备访问权限的控制方法、装置及堡垒机
US11790099B1 (en) Policy enforcement for dataset access in distributed computing environment
He Role security access control of the distributed object systems
La Marra et al. Demonstration of secure slicing using ETSI MANO enhanced with Usage Control Capability

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant